رییس سازمان فناوری مطرح کرد: یکپارچگی نهادی، عامل افزایش امنیت سایبری در کشور

در ماه‌های اخیر لو رفتن داده‌های کاربران از پلتفرم‌ها، سازمان‌ها و دستگاه‌های مختلف به یکی از اتفاقات مرسوم و نسبتا عادی تبدیل شد. حالا سازمان فناوری اطلاعات توسط همکاری با افتای ریاست جمهوری و همچنین سازمان پدافند غیرعامل، می‌خواهد یک گواهی‌نامه حوزه امنیت که به تایید سه دستگاه می‌رسد را به کسب‌وکارهای خصوصی ارائه دهد. این روند می‌تواند در پیشگیری افشای اطلاعات کاربران و ساده‌سازی فرآیند دریافت گواهی‌نامه‌های حوزه امنیت به شرکت‌های حوزه فناوری کمک کرده و یکپارچگی نهادی را در این حوزه به وجود آورد.

در گام اول، گواهی‌نامه مشترک از سوی سازمان فناوری اطلاعات ایران، افتای ریاست جمهوری و سازمان پدافند غیرعامل به چند شرکت خصوصی که در حوزه فناوری اطلاعات فعال بودند ارائه شد. «امیر ناظمی»، رئیس سازمان فناوری اطلاعات و معاون وزیر ارتباطات، امروز (۱۸ خرداد) و در این رویداد اعلام کرد که این، یکی از نخستین‌بارهایی است که چند نهاد با همکاری یکدیگر در حوزه ارائه گواهی‌نامه‌های امنیتی، کار را برای بخش خصوصی ساده‌تر می‌کنند.

تا پیش از این، شرکت‌هایی که اطلاعات کاربران را در اختیار داشتند یا مایل بودند در حوزه فناوری اقدام به فعالیت کنند باید گواهی‌نامه‌های امنیتی را از مراجع مختلفی مانند سازمان فناوری، افتای ریاست جمهوری و پدافند غیرعامل دریافت می‌کردند اما حالا این گواهی‌نامه‌ها تجمیع شده‌اند تا هزینه مالی و زمانی برای کسب‌وکارهای خصوصی کاهش پیدا کند. همین مسئله باعث می‌شود تا شرکت‌ها به دلیل تسریع فرآیندها، علاقه بیشتری به کسب این مجوز داشته باشند.

امیر ناظمی این جلسه را با طرح این سوال شروع کرد که «آیا ضرورت دارد تا دولت در بحث مجوزهای امنیتی مداخله کند؟» او با پاسخ مثبت به این سوال گفت که مداخله دولت در ارائه مجوزهای حوزه امنیت یکی از ضرورت‌هاست و عدم وجود آن‌ها می‌تواند باعث نقض حریم خصوصی شهروندان شود.

استراتژی‌های سازمان فناوری برای گواهی‌نامه‌های امنیتی

او در این جلسه به ۵ استراتژی و رویکرد از سوی سازمان فناوری اطلاعات ایران برای ارائه گواهی‌نامه‌های امنیتی اشاره کرد؛ رویکردی که تلاش می‌کند در حالی که حریم خصوصی شهروندان را حفظ کند، تبدیل به مانعی برای کسب‌وکارهای خصوصی نیز نشود.

۱- استراتژی سطح صفر

ناظمی می‌گوید شرکت‌ها یا اپلیکیشن‌ها در شروع فعالیت خود نیازی به اخذ گواهی‌نامه ندارند:

«در این حالت شرکت فعالیت خود را شروع می‌کند اما با افزایش تعداد رکوردهایی که از شهروندان جمع‌آوری می‌کند و میزان اهمیت رکوردها، نیازمند اخذ گواهی‌نامه یا گواهی‌های سختگیرانه‌تر خواهد بود. لو رفتن اطلاعات ۵ با ۵۰۰ با ۵ میلیون شهروند فرق می‌کند و به همین نسبت، باید گواهی‌های امنیتی بر اساس سطح فعالیت وجود داشته باشد. در نتیجه، مخالف بودیم که یک اپلیکیشن در لحظه صفر فعالیت خود بیاید گواهی بگیرد.»

۲- استراتژی استقلال حداکثری از دولت

ناظمی اعلام کرد که این استراتژی به گونه‌ای است که میزان دخالت دولت حداقل باشد. او در همین رابطه توضیح داد:

«به این مفهوم که ما ۶ آزمایشگاه مستقل و خارج از دولت را در نظر گرفته‌ایم که ارزیابی روی نرم افزار و سامانه‌ها را انجام دهند و سپس به دولت گزارش خود را ارائه دهند. نکته اینجاست که وقتی میزان مداخله دولت کمتر شود، سلامت اداری هم بیشتر می‌شود؛ فساد از انحصارهایی است که دولت برای خودش درست می‌کند.»

۳- استراتژی یکپارچگی نهادی

ناظمی توضیح داد که این استراتژی تلاش می‌کند تا چگونگی تقسیم کار در بین بخش‌های مختلف را مشخص کرده و بیشترین هماهنگی بین بخش‌های متفاوت را ایجاد کند. او با ذکر مثالی از گواهی‌نامه مشترکی که توسط سازمان فناوری، افتا و پدافند غیرعامل به کسب‌وکارها ارائه می‌شود، گفت:

«اگر ما بیاییم و به جای ۱ مجوز، ۳ مجوز همزمان بدهیم، یعنی هم بین خودمان ناهماهنگی به وجود می آوریم هم مانع برای شرکت‌ها به وجود می‌آوریم و هم رقابتی بین خودمان به وجود می‌آوریم، که شاید در این بازی، اهمیت امنیت کاهش پیدا کند. شاید گواهی‌نامه‌ای که امروز ارائه می‌شود، یکی از اولین گواهی‌نامه‌هایی باشد که ۳ نهاد مستقل با هم آن را ارائه می‌دهند؛ سازمان‌هایی که ارتباطات آنها هم زیاد نبوده است. این یکپارچگی نهادی اهمیت بسیار بالایی دارد. حالا وقتی گواهی‌نامه به شرکت‌ها داده می‌شود، امضای ۳ دستگاه پایین آن است.»

او توضیح داد که حالا مشکلات جدی در حوزه امنیت وجود دارد که بخشی از آن به ناهماهنگی و یکپارچه نبودن نهادها با هم مربوط می‌شود:

«ما همین امروز با مشکلات جدی در حوزه امنیت رو به رو هستیم که ریشه یابی آن به ما نشان می‌دهد که فقدان یکپارچگی بیش از هر چیز دیگر باعث آسیب دیدن ما شده است. دستورالعمل‌ها خیلی مواقع در تقسیم کار نادیده گرفته می شوند. پیش فرض ما این است که بخشی از مسئله را افتا رسیدگی می‌کند و از طرفی افتا این پیش فرض را دارد که مسئول، سازمان فناوری است. اینجا یا خیلی از مسائل نادیده گرفته می‌شوند یا مورد تعارض یا حتی رقابت (بین دستگاه‌ها) قرار می‌گیرند. گاهی بیشتر زمان دستگاه‌ها صرف این موضوع می‌شود که کدام یک باید گواهی‌نامه‌ای را صادر کند، اما اتفاق امروز، اتفاق خوبی است.»

۴- استراتژی تنوع در گواهی‌نامه‌ها بر حسب نیازها

ناظمی اشاره می‌کند که نیازی نیست همه شرکت‌های فعال در حوزه فناوری اطلاعات را با یک عینک نگاه کرد:

«لازمنیستهمهرابایکمعیاراندازه‌گیریکنیم. بنابهکاربردهایمختلفبایدگواهی‌نامه‌هایمتنوعیارائهدهیمودرادامهآن‌هارابیشترمی‌کنیم. الان این گواهی‌نامه‌ها تا حد زیادی یکسان هستند و تلاش می‌کنیم در گذر زمان تنوع آن‌ها را بیشتر کنیم.»

۵- استراتژی کاهش هزینه‌های مالی و زمانی

او اعلام کرد که استراتژی آخر سازمان فناوری در زمینه ارائه گواهی‌نامه‌های حوزه امنیت، کاهش هزینه‌ها برای کسب‌وکارها هم در بُعد مالی و هم زمانی است:

«منظور از هزینه، یعنی هم نگاهمان به هزینه مالی و زمانی است. هزینه زمانی کشنده‌تر از هزینه مالی است. وقتی یک شرکت باید ۶ ماه را صرف دریافت مجوز کند و دوباره ۶ ماه زمان بگذارد که همان مجوز را با کمی تغییر از جای دیگری بگیرد، زمان رسیدنش به بازار از دست می‌دهد و این یعنی کاهش چابکی و رقابت پذیری.»

ناظمی اعلام کرد که طی هماهنگی با صندوق نوآوری و شکوفایی انجام شده، هزینه گواهی های امنیتی برای شرکت‌های دانش بنیان به عنوان یک بسته تشویقی در نظر گرفته شده و بخش عمده‌ای از این هزینه را صندوق پرداخت می‌کند: «این موضوع کمک می‌کند تا شرکت‌ها با دغدغه کمتری به این موضوع بپردازند».